Bewertung zeitgesteuerter Passwortrichtlinien in Zeiten massenhafter Passwort-Leaks

20.10.2016

Die Kombination aus Benutzername und Passwort als Standard zur Authentifizierung in vielen Bereichen der Informationstechnologie

Die Kombination aus Benutzername und Passwort ist in vielen Bereichen der Informationstechnologie der Standard zur Authentifizierung von Benutzern und Zuweisung der zugehörigen Benutzerrechte. Als Teil vieler Passwortrichtlinien hat sich eine zeitgesteuerte Änderung von sensitiven Passwörtern etabliert: Passwörter müssen beispielsweise alle n Tage geändert werden, wobei n Tage üblicherweise in der Größenordnung von einem bis mehreren Monaten liegt. Diese Richtlinie liegt in der Möglichkeit begründet, dass ein Angreifer Zugriff auf Passwörter oder Passwort-Hashes erhält und diese direkt oder durch Erraten ('Brute-Force' oder Cracking) einsetzen kann, um sensible Systeme zu kompromittieren.

Passwort-Richtlinien, Zugangsbeschränkungen

Für IT-Systeme, in denen eine Kombination aus Benutzername und Passwort zur Authentisierung verwendet wird, ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und die Benutzer der betroffenen IT-Systeme dahingehend zu unterweisen (Passwortrichtlinie). Unter anderem wird in solch einer Richtlinie geregelt, welche Zeichengruppen und Zeichenkettenlängen für Passwörter in den verschiedenen Sicherheitszonen der IT-Umgebung verwendet werden sollen, wie Passwörter hinterlegt werden dürfen und unter welchen Umständen diese geändert werden müssen.

Die Empfehlung Regelung des Passwortgebrauchs [M2.11] im Maßnahmenkatalog M2 'Organisation' des vom Bundesamt für Sicherheit in der Informationstechnik für Institutionen in Wirtschaft und Verwaltung entwickelten IT-Grundschutzes gibt beispielsweise eine Übersicht über etablierte Vorgaben und Regeln zur Passwortgestaltung und IT-technische Randbedingungen, die, falls technisch möglich, eingehalten werden sollen. Ein weiterer anerkannter Maßnahmenkatalog ist das Network and Certificate System Security Requirements des CA/Browser Forums, eines freiwilligen Zusammenschlusses von Zertifizierungsstellen (Certification Authorities, CAs), Vertreibern von Browsersoftware und anderer Anwendungen, die X.509-Zertifikate für SSL/TLS und zum Signieren von Programmcode verwenden.

Vorgaben für Passwörter, Passwortwahl

Die Vorgaben für die Wahl oder Erzeugung geeigneter Passwörter beschränken sich meist auf Passwortlänge und Mindestanforderungen an die Art und Menge verwendeter Zeichentypen (Buchstaben, Zahlen, Symbole, Groß- und Kleinschreibweise,…), da gegen 'soziale' Angriffe (Social Engineering) von der Sensibilisierung der Mitarbeiter abgesehen kein wirksamer Schutz einrichtbar ist. Im Wesentlichen werden also lange und möglichst komplizierte Passwörter empfohlen, um Angriffe durch Raten und Cracking zu erschweren. Systemseitig sollten Passwörter aus dem gleichen Grund vor dem Speichern ein- bis n-mal gehasht werden (Streuwertbildung, meist: Abbildung von Zeichenketten beliebiger Länge auf Zeichenketten fester Länge). Zur Erhöhung der Sicherheit wird Passwörtern vor dem Hashen eine geheime, zufällig generierte oder konstante Zeichenkette hinzugefügt (Salt). Dadurch können von Anwendern selbst zu trivial gewählte Passwörter gegen Angriffe durch Erraten geschützt werden. Darüber hinaus machen Salts die Verwendung von sogenannten Rainbow-Tables zum einfachen Nachschlagen der Passwörter schwer oder unmöglich. Für den Authentifizierungsvorgang werden nur die Hashes (Streuwerte) von gespeichertem und eingegebenem Passwort (mit Salt) verglichen. Dadurch entfällt die Notwendigkeit, Passwörter im Klartext zu speichern. Unterschiedliche Hashfunktionen benötigen hierbei unterschiedlichen Rechenaufwand sowohl bei der Abbildung an sich, als auch insbesondere im umgekehrten Fall nach der Kompromittierung einer Passwortdatenbank oder -datei. Die Algorithmen SHA-256 und SHA3-256 gelten einer aktuellen Einschätzung nach auch für momentan denkbare Angriffe durch Quantensuchalgorithmen als sicher.

Veröffentlichte Passwörter, Passwort-Leaks

Solche Kompromittierungen sind mittlerweile häufig und die dadurch erhaltenen Daten sind oft frei zugänglich (Passwort-Leak). Die Webseite ';--have i been pwned? des Sicherheitsforschers Troy Hunt listet beispielsweise momentan etwa 150 dieser Leaks, von denen kombiniert knapp 1.5 Milliarden Benutzerkonten betroffen sind. Das heisst, dass Benutzerdaten und Passwörter aus diesen Leaks entweder im Klartext oder in gehashter Form zugänglich sind, sei es offen im Netz auf Seiten wie Pastebin (über 40000 solcher Sammlungen sind bekannt) oder weniger offen (meist Stichproben), wenn diese im Netz zum Verkauf angeboten werden.

Mittlerweile stehen optimierte Programme zur Wiederherstellung von Passwörtern aus deren Hashes zur Verfügung, die mit handelsüblichen Grafikkarten abhängig vom verwendeten Hash-Algorithmus einige Millionen bis mehrere Milliarden Hashes pro Sekunde gegen einen bekannten Hash testen, um die Daten im Klartext zu erhalten. Dies kann durch pures Raten erfolgen (Brute-Force), indem zu einem vorgegebenen Alphabet (beispielsweise bestehend aus Groß- und Kleinbuchstaben, Zahlen und den einfach zugänglichen Sonderzeichen: ! " § $ % & \ / ( ) = ? + * # ' - _ . : , ; < > alle möglichen Kombinationen bis zu einer vorgegebenen Zeichenkettenlänge getestet werden.

In diesem Fall gibt es für Zeichenketten der Länge 1 genau a1=91 Möglichkeiten, für Zeichenketten der Länge 2 sind es a2=8281 und für Zeichenketten der Länge n entsprechend an zu testende Hashes. Bis vor einigen Jahren war eine Länge von maximal n=8 Zeichen eine weit verbreitete Passwortrichtlinie, die in der Art, wie die Funktion crypt auf UNIX-Systemen den symmetrischen Verschlüsselungsalgorithmus Data Encryption Standard (DES) implementiert, begründet liegt. Hierbei sind nur die ersten acht Zeichen des Passworts signifikant, was sich schließlich auch in von crypt unabhängigen Bereichen als Längenvorgabe für Benutzerpasswörter durchgesetzt hat. Mit handelsüblicher Hardware ist das Cracking eines Passworts mit bis zu acht Zeichen aus einem Alphabet mit 91 Zeichen immer noch machbar (abhängig vom Hash-Algorithmus in einer Größenordnung von mehreren Wochen bis Monaten Rechenzeit): es müssen nur 4.755·1015 Kombinationen geprüft werden. Es gibt für diesen Zweck allerdings auch dedizierte Hardware, die solche Probleme in wenigen Tagen oder schneller lösen kann.

Wörterbücher, Rainbow-Tables

Die Tatsache, dass trotz erhöhtem Rechenaufwand beispielsweise beim LinkedIn Passwort-Hack von 2012 (SHA1-Algorithmus, ohne Salt) bereits 72 Stunden nach Veröffentlichung über 90% der insgesamt 117 Millionen enthaltenen Passwörter gecrackt waren, liegt darin begründet, dass Anwender Passwörter nicht nur anhand von Sicherheitskriterien wählen, da sie sich diese üblicherweise auch merken müssen. Dies macht den Einsatz von Wörterbüchern zum Cracking wirkungsvoll, in die Erfahrungswerte aus bekannt gewordenen Passwort-Sammlungen einfließen. Durch das Datenleck bei RockYou Ende 2009 mit 32 Millionen Passwörtern im Klartext ist eine wirkungsvolle Passwortliste entstanden, die, neben Wortlisten aus Nachschlagewerken und anderen bekannt gewordenen Datenlecks, immer noch als Basis für die Verwendung in Cracking-Werkzeugen verwendet wird. Die häufigsten Passwörter damals waren: 123456, 12345, 123456789, password und iloveyou. Solche häufigen Passwörter werden bei einem derartigen Ansatz zuerst überprüft. Zusätzlich können Variationen der aufgeführten Wörter getestet werden: Anhängen oder Einstreuen von Zahlen und Sonderzeichen, häufige Ersetzungen (beispielsweise die als L337speak bekannte Ersetzung von Buchstaben durch Zahlen und ähnlich aussehende Zeichenkombinationen) und weitere durch Menschen schwer und durch Rechenmaschinen leicht erratbare Varianten. Die Erfolgsrate dabei ist sehr hoch, daher sollte der menschliche Faktor Teil einer jeden Passwortrichtlinie sein.

Eine weitere Möglichkeit zum schnellen Erraten von Passwörten bieten sogenannte Rainbow-Tables. Dies sind einfache Zurodnungen aller möglichen Kombinationen von Zeichen aus einem bestimmten Alphabet bis zu einer vorgegebenen Länge. Solche Zurodnungen eliminieren fast die gesamte für die Prüfung eines Hashes benötigte Rechenzeit, da lediglich auf Existenz eines Resultats geprüft werden muss. In Zeiten sinkender Kosten für Speicherplatz stellen Tabellen mit Größen von einigen hundert Gigabyte Angreifer vor keine unlösbaren Probleme, einige dieser Rainbow-Tables sind zur Wiederherstellung einzelner Passwörter aus vorgegebenen Hashes auch online verfügbar. Demnach ist auch der für eine Angreifer anspruchsvollste Angriff auf ein sensitives Passwort, das Erraten oder Cracking eines Passworts aus einem gegebenen Hash ohne Salt, nur eine Ressourcenfrage, die sich innerhalb von Sekunden oder Tagen beantworten lässt.

Zeitgesteuerte Passwortrichtlinien

Eines der ersten öffentlich gewordenen Passwort-Leaks war die Offenlegung der Passwortdatei eines UNIX-Systems als 'Message of the Day' eines Compatible Time-Sharing Systems (CTSS) am Massachusetts Institute of Technology in den frühen 1960er Jahren. In der Folge wurden die Passwörter nicht mehr im Klartext, sondern verschlüsselt gespeichert oder als Schlüssel zur Verschlüsselung einer Konstante verwendet. Die oben angesprochenen Hashwert-Prüfungen konnten mit damaliger Hardware (als Beispiel in der Referenz wird der PDP-11/70 der Digital Equipment Corporation aus dem Jahr 1975 genannt) für ein Passwort aus sechs Zeichen aus einem Alphabet mit 62 Zeichen (alphanumerisch ohne Umlaute) innerhalb von etwa 27 Monaten durchgeführt werden (das entspricht einer Hashwert-Prüfung alle 1.25 ms). Auch wenn im Durchschnitt ein Passwort nach der Hälfte der Zeit erraten ist, konnte man also davon ausgehen, dass nach der Kompromittierung eines Systems mehrere Monate vergehen, bis das Passwort im Klartext vorliegt und das Benutzerkonto von einem Angreifer für weitere Angriffe ausgenutzt werden kann.

Vor diesem Hintergrund sind zeitgesteuerte Passwortrichtlinien entstanden, die von Anwendern die proaktive Änderung ihrer Passwörter in einem vom Verantwortlichen als sinnvoll festgelegten Intervall verlangen. Die 'Regelung des Passwortgebrauchs' im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik empfiehlt beispielsweise:

  • Richtlinie
    • Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.
    • Alte Passwörter sollten nach einem Passwortwechsel nicht mehr gebraucht werden.
  • IT-technische Umsetzung
    • Der Passwortwechsel sollte vom System regelmäßig initiiert werden.
    • Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT -System verhindert werden (Passworthistorie).

Durch eine derartige Passwortrichtlinie würde der freie Zugang zu Benutzerkonten, die kompromittiert wurden, automatisch im folgenden Passwortzyklus unterbunden. Diese Richtlinie hilft allerdings nicht gegen die möglichen Folgen des ersten erfolgreichen Angriffs, beispielsweise das sofortige Ausspähen von sensitiven Informationen, die Installation von Hintertüren oder Schadsoftware oder die dauerhafte Kompromittierung durch Neudefinition dess betriebssysteminternen Passwortwechsel-Kommandos.

Eine weitere Studie bestätigt eindrucksvoll, dass eine zeitgesteuerte Passwortrichtlinie zu einem insgesamt niedrigeren Sicherheitsniveau führen kann, da Anwender in vielen Fällen beim Passwortwechsel systematische Änderungen an ihren Passwörtern vornehmen (primitive Transformationen). Ein Angreifer mit Kenntnis eines der Passwörter ist laut den Autoren mit einem spezialisierten Algorithmus in 41% der Fälle dazu in der Lage, ein Nachfolgepasswort in weniger als drei Sekunden zu erraten. In 63% der Fälle können Passworte einen Benutzers aus den folgenden Zyklen anhand einer bekannten Transformationen mit gleichem Aufwand wieder erraten werden und in 17% der Fälle ist ein 'Online-Angriff' möglich, also ein Angriff mit weniger als fünf Rateversuchen.

Diese Ergebnisse sind weitestgehend unabhängig von der ursprünglich gewählten Passwortstärke. Auch Benutzer mit starken Passwörtern verwenden primitive Transformationen oder lagern Passwörter außerhalb ihres Gedächtnisses. Im Hinblick auf die bei den Benutzern ausgelöste Frustration sollte es zu einer Verschiebung des Problems zu den Verteidigern solcher Passwortrichtlinien kommen. Bis zum heutigen Tag gibt es keine Studie, die die Wirksamkeit zeitgesteurter Passwortrichtlinien belegt. Es muss daher geklärt werden, unter welchen Umständen ein nachweislicher Sicherheitsgewinn erzielbar ist.

Von den denkbaren Angriffsvektoren Offenlegung, Aufdeckung, Ausspähen, Verlust, Wiederverwendung, Deduktion und Raten kann nur letzterer durch eine derartige Richtlinie mitigiert werden. Zudem werden nur Systeme geschützt, die von außen zugänglich sind oder aus denen eine Passwortdatei zur Weiterverarbeitung extrahiert werden kann. Die Wahl eines modernen Hashing-Algorithmus mit (Hardware-)Salt zur Speicherung der Passwörter und eine Erhöhung der Mindestpasswortlänge oder -komplexität schaffen hier technische Abhilfe ohne größere Beeinträchtigungen für die Benutzer.

Empfohlene Passwortrichtlinien

Zur Mitigation der weiteren Angriffsvektoren ist eine ereignisgesteuerte Passwortrichtlinie unumgänglich. Passwörter müssen sofort geändert werden, falls:

  • Hinweise auf Passwortdiebstahl oder -kompromittierung existieren,
  • das Passwort mit jemandem geteilt wurde,
  • die Möglichkeit besteht, dass das Passwort während der Eingabe ausgespäht wurde,
  • Malware auf dem eigenen System festgestellt wird,
  • Mitarbeiter aus dem Dienst ausscheiden.

Zur Durchsetzung einer solchen Richtlinie ist ein extensives Zugriffs-Monitoring hilfreich, das im Zweifelsfall ungewöhnliche Zugriffsversuche direkt blockiert und die betroffenen Benutzer und Systemadministratoren benachrichtigt. Darüber hinaus müssen die Benutzer hinsichtlich der Wiederverwendung von Passwörtern über Benutzerkonten hinweg und insbesondere in Arbeitswelt und Privatleben sensibilisiert werden, um den menschlichen Faktor möglichst klein zu halten. Die Lagerung von Passwörtern kann den Nutzern eingeschränkt überlassen werden. Niederschriften auf Papier in abgeschlossenen Behältern oder Schränken können für manche Systeme erlaubt sein, verschlüsselte Passwortdateien oder die Verwendung externer Passwortmanager sind zu befürworten.

Die Stanford University hat mittlerweile eine Passwort-Policy eingeführt, die — abgesehen von Personen oder Institutionen, die unter den Health Insurance Portability and Accountability Act zusammengefasst sind, beispielsweise Ärzte, Apotheker,… — ohne zeitgesteuerte Richtlinie auskommt. Benutzer werden hier angewiesen, kurze und komplexe Passwörter oder längere und dafür möglicherweise einfacher zu merkende Passphrasen zu verwenden. Die Entwickler der Policy empfehlen selbst, Passwörter mit mindestens 16 Zeichen zu verwenden und geben zur Erstellung der Passwörter ein dem Konzept der Diceware Passphrase entlehntes Verfahren an. Für Diceware wird eine Liste mit 7776 Worten verwendet, aus denen man eine bestimmte Anzahl zufällig auswählt. Mit vier Worten aus dieser Liste (und selbst gewählten Verbindungszeichen) als Passphrase erhält man ein Passwort, das gegen Cracking-Angriffe ähnlich sicher ist, wie ein vollkommen zufällig generiertes Passwort mit acht Zeichen aus dem oben genannten Alphabet mit 91 Zeichen (aber deutlich einfacher zu merken). Diese Abschätzung gilt, falls der Angreifer alle Informationen zum Passwortgenerierungsalgorithmus kennt und stellt daher ein unteres Limit dar, aber auch dieser Ansatz wird kritisch diskutiert.

Zusammenfassung

Die Wirksamkeit zeitgesteuerter Passwortrichtlinien ist aktuell Gegenstand kritischer Forschung. Von Studien zur Verwendung von Einmalpasswörtern abgesehen existieren noch keine Studien, die quantifizieren, unter welchen Umständen solche Richtlinien einen Sicherheitsgewinn darstellen. Existierende Studien zeigen, dass das Sicherheitsniveau insgesamt durch die Mehrbelastung der Benutzer durch häufige Passwortwechsel sinkt: Passwörter werden über die verschiedenen Zyklen oft nur wenig variiert und können im folgenden Zyklus leicht aus bekannten Passwörtern abgeleitet werden, Benutzer wählen insgesamt schwächere Passwörter, die sich leichter merken lassen.

Eine ereignisgesteuerte Passwortrichtlinie bietet zunächst den Vorteil, dass Ressourcen bei Anwendern und in der Verwaltung geschont werden. Der Verzicht auf eine zeitgesteuerte Passwortrichtlinie kann zusammen mit der Forderung nach stärkeren Passwörtern zu einer erhöhten Sensibilität der Anwender und damit zu einem steigenden Sicherheitsniveau führen. Der Zugang zu kritischen Systemen kann darüber hinaus durch Mehrfaktor-Authentifizierung, Einmalpasswörter oder über Zertifikate abgesichert werden. Denkbar ist auch die komplette Abschottung dieser Systeme vom offentlichen Netz oder die Einführung neuer Authentifizierungsmechanismen, was allerdings Änderungen an der örtlichen Infrastruktur erfordert.

Die IT-Landschaft hat sich in den knapp 40 Jahren seit dem Aufkommen zeitgesteuerter Richtlinien derart verändert, dass ereignisgesteuerte Passwortrichtlinien, die zusätzliche Sensibilisierung der Benutzer, die Erzwingung starker oder langer, aber nicht ablaufender Passwörter und die Absicherung kritischer Systeme durch zusätzliche Sicherheitsmechanismen im Vergleich besser geeignet sind.

Angriffsvektoren

Passwortrichtlinien richten sich grundsätzlich nach dem Risikopotential, das mit Verlust oder widerrechtlicher Aneignung des Passworts einhergeht.

Offenlegung

Eine systemische Bedrohung, die in den betroffenen Plattformen und den Methoden zur Generierung oder Verteilung der Passwörter selbst begründet liegt. Die Speicherung von Passwörtern im Klartext ist ein Beispiel, aber auch die bewusste Offenlegung durch den Mitarbeiter.

Aufdeckung, Ausspähen

Die unbeabsichtigte Offenlegung eines Passworts, beispielsweise wenn das Passwort in einem Anmeldeformular als Benutzername eingetragen wird und in der Folge in Logdateien auftaucht. Passwörter können ebenfalls durch lokale Präsenz oder mit Hilfe von Werkzeugen wie Keyloggern und Netzwerksniffern aus einer laufenden Kommunikation heraus ausgespäht werden.

Verlust

Das Vergessen eines Passworts und der Verlust der für die Erinnerung an oder die Erneuerung des Passworts benötigten Hilfsmittel.

Wiederverwendung

Die Wiederverwendung von Passwörtern erlaubt einem Angreifer, der das Passwort eines der Benutzerkonten des betroffenen Mitarbeiters erhalten hat, weitere mit diesem Passwort geschützte Benutzerkonten und damit unter Umständen sogar dessen Identität zu übernehmen. Insbesondere problematisch ist die Verwendung identischer Passwörter für private und berufliche Benutzerkonten, da dadurch die Passwortsicherheit außerhalb der Einflussmöglichkeiten der firmeneigenen Sicherheitsinstitutionen liegt.

Deduktion

Falls bei der Passworterzeugung oder -wahl ein Muster verwendet wird, sind alle betroffenen Passwörter leicht erratbar, wenn nur ein einzelnes dieser Passwörter bekannt ist. Von Menschen gewählte Muster sind üblicherweise maschinell leicht zu prüfen.

Raten (Cracking)

Beliebige Zeichenketten können erraten werden, falls genug Versuche und Ressourcen zur Verfügung stehen. Cracking ist zum einen der Versuch, Passwörter mit Hilfe eines Algorithmus zu erraten und bietet zum andern die Möglichkeit, in einer Zwischenform verschlüsselt gespeicherte Passwörter wieder zu entschlüsseln.

Alle Artikel